Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Systems Restart' = 'Rundll32.exe gopy.dll, DllRegisterServer'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\phhr.bat" "<Полный путь к вирусу>""
- <SYSTEM32>\regsvr32.exe /s ztoolbar.dll
- <SYSTEM32>\regsvr32.exe /s gopy.dll
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Desktop\Car Insurance.lnk
- %ALLUSERSPROFILE%\Desktop\Viagra.lnk
- %ALLUSERSPROFILE%\Desktop\Phentermine.lnk
- %ALLUSERSPROFILE%\Desktop\Free Ringtones.lnk
- %ALLUSERSPROFILE%\Desktop\Online Dating.lnk
- %ALLUSERSPROFILE%\Desktop\Gift Ideas.lnk
- %ALLUSERSPROFILE%\Desktop\Forex Trading.lnk
- %ALLUSERSPROFILE%\Desktop\Sport Betting.lnk
- %ALLUSERSPROFILE%\Desktop\Texas Holdem.lnk
- <Текущая директория>\phhr.bat
- %ALLUSERSPROFILE%\Desktop\Home Loan.lnk
- %ALLUSERSPROFILE%\Desktop\Blowjob.lnk
- %ALLUSERSPROFILE%\Desktop\Credit Card.lnk
- %ALLUSERSPROFILE%\Desktop\Group Sex.lnk
- %ALLUSERSPROFILE%\Start Menu\Spyware Remover.lnk
- %ALLUSERSPROFILE%\Desktop\Spyware Remover.lnk
- <SYSTEM32>\gopy.dll
- <SYSTEM32>\ztoolbar.dll
- %ALLUSERSPROFILE%\Desktop\Mp3 Download.lnk
- %ALLUSERSPROFILE%\Desktop\Cigarettes Discount.lnk
- %ALLUSERSPROFILE%\Desktop\PopUp Blocker.lnk
- %ALLUSERSPROFILE%\Desktop\Porn Dvd.lnk
- %ALLUSERSPROFILE%\Desktop\Real Estate.lnk
- %ALLUSERSPROFILE%\Desktop\Play Poker.lnk
- %ALLUSERSPROFILE%\Desktop\Online Casino.lnk
- %ALLUSERSPROFILE%\Start Menu\PopUp Blocker.lnk
Самоудаляется.
